Als Reaktion auf die Covid-19-Pandemie wurden in Österreich mehrere Gesetzespakete beschlossen. Wenngleich dabei arbeits- und sozialrechtliche Aspekte im Vordergrund standen, wurden auch einige datenschutzrechtliche Themen geregelt. Da stellt sich die grundlegende Frage: Hielt sich der Gesetzgeber dabei an die unionsrechtlichen Datenschutzvorgaben oder schoss er über das Ziel hinaus? Die Antwort vorab – teilweise ja, teilweise nein.

Eine öffentlich noch kaum diskutierte Maßnahme betrifft die Änderung des Gesundheitstelematikgesetzes (GTelG). Das GTelG verfolgt das Ziel, die Datensicherheit beim elektronischen Verkehr mit Gesundheitsdaten und genetischen Daten zu erhöhen. § 6 GTelG verpflichtet zur Wahrung der Vertraulichkeit insbesondere durch den Einsatz von kryptographischen Maßnahmen und Authentifizierungsvorgängen.

Sascha Jung ist Rechtsanwalt und Partner bei Jank Weiler Operenyi | Deloitte Legal, wo er den Bereich IP/IT und Data Protection leitet. - © Deloitte/feelimage
Sascha Jung ist Rechtsanwalt und Partner bei Jank Weiler Operenyi | Deloitte Legal, wo er den Bereich IP/IT und Data Protection leitet. - © Deloitte/feelimage

Risiko: Gesundheitsdaten per unverschlüsseltem E-Mail

Die neu geschaffenen Bestimmungen in § 27 GTelG sehen vor, dass eine Übermittlung von Gesundheitsdaten und genetischen Daten an Betroffene oder bekannt gegebene Personen per E-Mail erfolgen darf – und zwar ungeachtet der in § 6 GTelG normierten Vertraulichkeit. Mit dieser Lockerung soll verhindert werden, dass besonders gefährdete Gruppen wie Personen über 70 sowie jene mit Vorerkrankungen für die Verschreibung und Abholung von Rezepten selbst Ärzte und Apotheken aufsuchen müssen. In Zeiten des Coronavirus würde das ein unnötiges Gesundheitsrisiko bedeuten.

Aber was heißt das für den Datenschutz? Auch wenn die Datenschutzgrundverordnung der EU (DSGVO) keine ausdrückliche Pflicht zur Verschlüsselung von Gesundheitsdaten festlegt, folgt sie einem risikobasierten Schutzansatz. Je sensibler die Daten, desto größer der Schutzbedarf. Gesundheits- und genetische Daten sind zweifelsfrei hochsensible Daten, deren Verarbeitung gemäß Art 32 DSGVO mit einem möglichst hohen Maß an Sicherheit zu erfolgen hat. Insbesondere die Datenverschlüsselung zählt die DSGVO zu solchen Schutzmaßnahmen.

Damit ist klar: Ein unverschlüsselter E-Mail-Versand von Gesundheitsdaten, wie durch das geänderte GTelG ermöglicht, steht dazu im offenen Widerspruch. Der Europäische Gesetzgeber gibt den Mitgliedstaaten zwar die Möglichkeit, eigene Bedingungen oder Beschränkungen für die Verarbeitung von Gesundheitsdaten einzuführen. Das umfasst aber lediglich strengere als die in der DSGVO bereits festgelegten Anforderungen. Auch wenn der Gesetzgeber mit der Änderung des GTelG ein hehres Ziel verfolgt: Aufgrund des Anwendungsvorrangs des Unionsrechts ist die Zulässigkeit der in § 27 GTelG eingefügten Absätze 12b und 14a somit schon jetzt mehr als fraglich.

Daher sollten die Anbieter von Gesundheitsdiensten gesundheitsbezogene und genetische Daten weiterhin ausschließlich durch ein sicheres Verfahren verschlüsselt per E-Mail versenden.

Auf der sicheren Seite: SMS-Warnsystem

Eine weitere Maßnahme betrifft den in das Telekommunikationsgesetz (TKG) neu eingefügten § 98a. Demnach kann die österreichische Bundesregierung Betreiber mobiler Kommunikationsdienste dazu verpflichten, ihren Kunden per SMS bundesweit oder regional öffentliche Warnungen vor größeren Notfällen und Katastrophen zuzusenden. Dabei dürfen die Betreiber der Kommunikationsdienste die dafür erforderlichen Stamm- und Standortdaten ihrer Kunden verarbeiten.

Hier muss beachtet werden, dass jede Datenverarbeitung einem bestimmten Zweck dienen und auf einer geeigneten Rechtsgrundlage basieren muss – nach diesem Maßstab ist auch diese Neuregelung zu beurteilen.

Eine der in der DSGVO angeführten Rechtsgrundlagen ist die Erfüllung einer rechtlichen Verpflichtung, also etwa wie hier eines Gesetzes. Im vorliegenden Fall ist der Zweck der Datenverarbeitung klar umrissen, die dafür notwendigen Datenarten sind festgelegt und der mit dem SMS-Warnsystem verfolgte Zweck steht in angemessenem Verhältnis zur notwendigen Verarbeitung der Kundendaten. Daher kann hier Entwarnung gegeben werden: Diese gesetzliche Maßnahme ist aus Sicht des Datenschutzes nicht zu beanstanden.

Resümee mit Licht und Schatten

Die datenschutzrechtliche Zulässigkeit der Covid-19-Gesetzgebung ist ein zweischneidiges Schwert: So setzen sich die Anbieter von Telekommunikationsdienstleistungen bei der gesetzeskonformen Durchführung des SMS-Warnsystems keinen datenschutzrechtlichen Risiken aus.

Anders sieht es für die Anbieter von Gesundheitsdiensten aus: Beim nun ermöglichten Versand von Gesundheitsdaten mittels unverschlüsselter E-Mails bewegen sich diese datenschutzrechtlich nicht auf sicherem Terrain. Daher muss die klare Empfehlung lauten: Gesundheitsdaten sollten weiterhin nur mittels verschlüsseltem E-Mail versendet werden. Alles andere ist ein rechtliches Risiko, das mit späteren Strafen verbunden sein kann.